二重化構成について 


本章では Firewall を2台使用して、二重化構成を構築ずるための手順について説日月しまず。 


セットア、ソプの概要(^96ぺージ） . 

. 一重化機能の動作概要について説明しています。 

セットアップ(一100ページ） . 

. 一重化構成を構築する場合の設定手順について説 

S 月していまず。 

運用（->128ページ） . 

. 一重化構成での運用ちまについて説 S 月していま 

ず。 

一重化構成の再セットア、ソプ(^に6ぺージ） . 

. 再セ、ソトアップの手順が単体構成とは異なりま 

す。再セットアップの隐の差分や手順について説 
S 月しています。 


を意-制限事項(^137ぺージ) 


二重化構成で運用する隐のを意事項や制限事項に 
ついて説 S 月しています。 










セットアップの概要 

二重化構成について説明します。 

この Firewall では， t (下の2種類の二重化構成を作成することができまず。 

• 片運巧切营え型(ホットスタンバイ） 

一台で運用し、障害時にスタンバイしている方に運用を移行します。 

• 両運用切替え型（□—ドシェア r 

二台で並列に運用し> 障害時には運用側ですベての業務を引き継ぐことが巧能です。 

* □ードシェアとは、イントラネット側の業務クライアントマシンのデフォルトゲートウェ 
イをを々の Firewall に設定ずることにより、 Firewal に台での運用を可能とするものです。 
障害樹こは、業務の引き継ぎ1台の Firewall で運用が巧能です。 


動作概要 


Firewall を二重化ずることで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時闇を最ル限にかえることができます。 

また、運用系で円 reWall -1 のプ□セスの異常をお化した場合や設定された IP アドレスとの通 
信が途絶した場合にわ> 待機系に業務を引き継ぐことが可能でず。 


W 下の仕組みで円 rewall を二重化しまず。 

ホットスタンバイ 

• 通常運用時 

一運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双ちか6アクセスします。 

-運用系/待機系の Firewall は互いにサーバの状態を監視をします。 


イントラネツト側 LAN 
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• 運用系サーバ障害時 


一待機系の円 rewall が運用系のダウンを検出しまず。 

-運用系の Firewall が仮想 IP アドレスをお効にします。 

一待機系の Firewall が仮想 IP アドレスを有効にします。 

ーインターネット側とイントラネット側の双方か6のアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 




DMZ を使苗ずる場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
まず。 
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□-ドシェア 

• 通常運用時 

一両おの Firewall で各々の仮想 IP アドレスを使用してインターネット側とイントラネッ 
卜側の双方からアクセスします。 

-両系の Firewall は互いにサーバの状態を監視しまず。 


イントラネツト側 LAN 




• サーバ 障害時 

-どち6か一方の Firewall が業務の異常、または障害を検化します。 


-障害側の Firewall は、自分の仮想 IP アドレスとの対応を、正常側の Firewall と対応さ 
せるように変更します。 


イントラネツト個 ILAN 
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二重化構成では Firewal に台のほかに管理用サーバがあ要となります。 Express 5800/ 
FW 300または FW 已〇〇をもう1台使用し、管理サーバとして動作させることも巧能です。 


必要な IJ ソース 


二重化を実現ずるためには、 Firewal 吃単体で運用ずるときに比べて新たなリソースがを要 
でず。 

セットアップの前にリソースの計画や設走をしてください。 

• 低潮 P アドレス(インターネット側)：1つ（□-ドシェアは2つ） 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス巧でホ使用の IP アドレスを設をして<ださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮潮 P アドレス(イントラネット側)：1つ （□- ドシェアは2つ） 

イントラネ、ソト側で引き継く''アドレスでず。 

イントラネ、ソト側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは円 rewa り本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• 仮想 IP アドレス ( DMZ 側)：1つ（□—ドシェアは2つ） 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネットワークァドレス巧でホ使用の IP アドレスを設をしてください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん。 

• FirewaN 間通信用アドレス：1つ 

Firewall 闇の監視に使用するアドレスです。 

基本的じは、円 rewall 監視専用アドレスとして、円 rewall 本体のインタフェースに割り当 
ててください。 
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セットアップ 


ホ、ソトスタンバイ、□ードシェアの設定じついて説明します。 


ホットスタンバイの設定 


と J 下のネットワーク構成を例にとって設定を巧います。 

□-ドシェアを行う場合は、本章の「ロードシェアの設定」を参照してください。 


• 

Firewall 1(運用系） 



ホスト名： 

fws 1 


インターネ 、ソ ト側実 IP アドレス： 

202.247 .5.1/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.1/255.255.255.0 


イントラネ 、ソ ト側実 IP アドレス： 

192.168 .1.1/255.255.255.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.1/255.255.255.0 

• 

Firewal に(待機系） 



ホスト名： 

fws 2 


インターネ 、ソ ト側実 IP アドレス： 

202.247 .5.2/255.255.255.0 


DMZ 側実 IP アドレス： 

172.16 .1.2/255.255.255.0 


イントラネ 、ソ ト側実 IP アドレス： 

192.168 .1.2/255.255.255.0 


Firewall 闇通信用 IP アドレス： 

192.168 .2.2/255.255.255.0 

• 

仮想 IP アドレス 



インクーネット側： 

202.247 .5.3 


DMZ 假！1: 

172.16 .1.3 


イントラネット側： 

192.168 .1.3 

• 

プ□キシ ARP アドレス 



インクーネット側： 

202.247 .5.4/255.255.255.0 

• 

管理巧サーバ 



ホスト名： 

rirewalLmgr 


IP アドレス： 

192.168 .1.4/255.255.255.0 

• 

GUI クライアント用 PC 



IP アドレス： 

192.168 .1.5/255.255.255.0 
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インタ 



202 . 247 . 5 . 0 / 255 . 255 . 255.0 


-ネツト側 LAN 


イントラネット側 LAN 
192 . 168 . 1 . 0 / 255 . 255 . 255.0 



DMZ LAN 

172 . 16 . 1 . 0 / 255 . 255 . 255.0 


公開巧 WWW / FTP などへ 



化 

構 

成 

に 


二) 

い 

て 
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設定手順の流れ 


じ(下に設定手順の流れを示します。ここでは二重化に関する設を内容のみを説明します。そ 
の他の手順については3章を参照して < ださい。 


Firewall - 1管理ヴーバのセツトアツつ 


1. 円 reWall -1 营理サーバの設定 


2. FireWall -1 营理モジユールのコンフイグレーシヨン 


〇 



〇 


セキユリテイポリシーの設定 


〇 


二重化機能の設定 


〇 


他のネットワーク機器の設定 
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FireWall -1 管理サーパのセツトアツ 



二重化する2台のサーバを管理ずるための管理サーバをセットアップします。(下の条件を 
満たずコンピュータに管理モジュールをインストールしてください。 Express 目 800/ 
FW30 日または FW50 日をもう 1 台用意し、管理サーバとして動作させることも巧能です。 


オペレーテイングシステム ： Windows 2000 Server(SP1. SP2 、 SP3 、 SP4 )、 

Windows 2000 Advanced Server(SP1 、 SP2 、 SP3 、 
SP4 )、 

Windows 2003 Server, 

SolarisS / UltraSPARC (32-bit 、 64-bit )、 

Solaris9 / UltraSPARC ( 目 4-bit )、 

RedHat Enterprise Linux 3.0 (kernel version 2.4.21) 


Windows 
ディスク容量： 
パリ： 


300 MBt 又上 
256M 目 W 上 


Linux 

ディスク容量: 
が' J : 

Solaris 
ディスク容量: 
六モリ： 


300 MBU 上 

256 M 目 W 上(推奨51 2 M 目 W 上） 
100 M 目 W 上 

1 28 MBW 上(推奨 256 MBJ：i 上） 


上記は、2005年5月現在の情報でず。令後のパ、ソチリリース I こより変更になる可能性があ 
ります。 
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Firewall -1 管理ヴー/ f の設定 

Express 5800 /FW30 日または FW50 日を管理サーバとして動作させる場合の設定例です。]:又 
下の手順に従って設定を行って<ださい。 

1. 初期導入ディスクじよる設定を巧う。 

3 章の「 1. 初期導入設を用ディスク ( こよる設定」を参照し、初期設定と管理クライアントの接続を 
巧ってください。 

p-oira 

r 巧期導入設定用ディスクの作成 J - r 备入力項目の設赴において、「ヴーバタイプ J は憎理サー 
ノて」にチェックをしてぐださい。 

2. 基本設定ツールによる設走を行う。 

p-oira 

3章の r 吕.システムのセットアップ J - 「薑本設定ツールによる設定 J を参照し、管理サーバとし 
て使用ずるための設定を巧ってください。サーバタイプの設定では、 
に. Mana 旨 ementServer 」 管理ヴーバになつていることを確認してください。 


# fwsetuD 

Firewall Server conflauration tool Ver.2.5—0 

server type 

1. Firewall 

2. Management Server 

select number [ 2 ].. 

〈运〉 

# shutdown —r now 


確認 


3. 設を終了後，再起動する。 


104 














FireWall -1 管理モジユールのコンフィグレーシヨン 

管理モジュールを管理サーバへインストールします。じ(下の手順でコンフィグレーションを 
巧ってください。図中の〈略〉の設走する項目じついては、3章の「2.システムのセットアッ 
プ」- 「 FirewWall -1 のコンフィグレーション」を参照してください。 


# cpconfiq 


Welcome to Check Point Conflauration Program 

Please read the following license agreement. 
Hit 'ENTER' to continue... . 


Do you accept all the terms of this license agreement (y/n) ? y ■■ 
Please select one of the following options : 

Check Point Enterprise/Pro — for headquarters and branch offices. 
Check Point Express — for medium-sized businesses. 


(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 

Enter your selection (1—2/a—abort) [1]: 1 
Select installation type : 


(1) Stand Alone — install VPN-1 Pro Gateway and SmartCenter Enterprise. 

(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 

Enter your selection (1-2 / a-abort) [1]; 2 .. 


① 

.② 


.③ 


.④ 


① 円 reWall -1 管理モジュールのコンフィグレーシヨンをする。 

② 使用許諾に承認した場合は < Y > キーを押ず。 

③ インストールずる製品を違択する。 

1の 「Check Point Enterprise / Pro 」 を達択し、インストールします。 

④ インストールずるモジュールを違択ずる。 

「2」を選択し、インストールします。 
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Select installation type : 


(1) VPN-1 Pro Gateway. 

(2) Enterprise SmartCenter. 

(3) Enterprise SmartCenter and VPN-1 Pro Gateway. 

(4) Enterprise Log Server. 

(5) VPN-1 Pro Gateway and Enterprise Log Server. 

Enter your selection (1-5/a-abort) [1]: 2 . 


Please specify the SmartCenter type you are about to install : 


(1) Enterprise/Pro Primary SmartCenter. 

(2) Enterprise/Pro Secondary SmartCenter. 

Enter your selection (1-2/a-abort) [1]: 1 . 

(略） 

************* Installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

cpstart : Power-Up self tests passed successfully 

(略） 


# shutdown -r now 


① 


② 


③ 


④ 


① インストールずるモジュールを選がする。 

「2」を選択し、管理モジュールをインストールします。 

② インストールずる管理モジュールのタイプを選択する。 
「1」を選択し、 Primary として使用しまず。 

③ 管理モジュールを起動させる。 

④ 再起動する。 
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Firewall 本体のセツトアツ 



円 reWall - l ①コンフイ グレーシヨ ン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なりまず。図中の〈略〉の設 
定する項目については，3章のに.システムのセットアップ」- r 円 「 eWalM のコンフイグレー 
シ ョン」を参照してください。 


去 cpconfiq 


Welcome to Check Point conriauration Program 

Please read the following license agreement. 
Hit 'ENTER' to continue... . 


Do you accept all the terms of this license agreement (y/n) ? y 
Please select one of the followinq options : 

Check Point Enterprise/Pro — for headquarters and branch offices. 
Check Point Express — for medium-sized businesses. 


(1) Check Point Enterprise/Pro. 

(2) Check Point Express. 

Enter your selection (1—2/a—abort) [1]: 1 
Select installation type: 


(1) Stand Alone — install VPN-1 Pro Gateway and SmartCenter Enterprise. 

(2) Distributed — install VPN-1 Pro Gateway, SmartCenter and/or Log Server. 

Enter your selection (1-2/a-abort) [1]: 2 . 


① 

.② 


.③ 


.④ 


① FireWall -1 のコンフィグレーシヨンをずる。 

② 使用許諾に承認した場合は < Y > キーを押ず。 

③ インストールずる製品を逞択する。 

1の 「Check Point Enterprise / Pro 」 を還択し、インストールします。 

④ インストールするモジュールを違択ずる。 

「2」を違択し、インストールします。 
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VPN-1 Pro Gateway. 

Enterprise SmartCe 打 ter. 

Enterprise SmartCenter and VPN-1 Pro Gateway. 
Enterprise Log Server. 

VPN-1 Pro Gateway and Enterprise Log Server. 


Enter your selection (1—5/a-abort) [1]: 1 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ?. 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization)? (y/n) [n] ? v . 


IP forwarding disabled 

Hardening OS Security : IP forwarding will be disabled during boot. 
Generating default niter 
Default Filter installed 

Hardening OS Security : Default Filter will be applied during boot. 
This program will guiae you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 

(B§) 


① 

.② 

.③ 


① インストールするモジュールを違がする。 

「1」を逞択し、インストールします。 

② Dynamically Assigned IP Address Module をインストールするか問い合わせがあるの 
て'、 < Ente 「> キーを逞がずる。 

③ Check Point clustering produ はをインストールするか聞い合わせがあるので> < Y > 
キーを押ず。 


Select installation type : 


1 2 3 4 5 
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Configuring Secure Internal Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key: 1 

Retype Activation Key: J 

The Secure Internal Communication was successfully initialized 

initial—module: 

Compiled OK. 

Hardening OS Security : Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y . 


① 


.② 


① FireWalM 管理サーバと Firewall 間での通信に使用するパスワードを設定してください。 
③終了後、再起動します。 
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セキ ユ IJ ティポ IJ シーの 設定 


Firewall オブジェクトの作成 

1. 2 台の Firewall のオブジェクトを作成ずる。 


— ViewObjectTree のに heckPoint] を選択し、ちクリックします。 

[New Check Point] 一 [VPN- 1 Pro/Express Gateway] を選択しまず。 


—オブジェクト： Gateway 
名前 ： fws1 、 fws2 

内容 ： IP Address には Fire 机 all-1 管理サーバと同じネットワークの実 IP アドレス 

を設をしてください。 

一 Fire 机 all-1 管理サーバか 6Firewall を管理(セキュリティポリシーの設定作□グ表示など)ず 
るためじは、 FireWalM 管理サーバと Firewall との間で通信を巧うための設をが必要でず。 
General ぺージ で [Communication...] をクリックし、 FireWall- 1 の〕ン フィグレーシヨ ン時 
に設をしたパスワードを入力してください。 



NAT 


Authentication 
田 Logs end Masters 
Capacity な timi 巧 tion 
田 Advanced 


ぶ ] 


Check Point 

Gateway - General Properties 

Name： 

|fv4Sl 


IP 曲か ess 

1202.247 .5.1 

Get address I F' Dynamic Address 

Comment 

1 


Color 


■ ’1 


▼i 


Commynication.- [ DN: j" 


Version： [nGX R60 

OS [Linux 

[ype: [Check Point tnlerpnse/Pro 

Check Point Products ■ 


，~1 Get Version j 
^ _ Get OS J 

] 



口 S?,: り reClient Policy Server 
USecondafy Sma け Center Server 


Additional Products： - 

日 CanfisLre Servers. I 


OK 
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Topology ページで全インタフェースを設定しまず。 



2 . 下のクラス女オブジェクトを作成ずる。 

— ViewObjectTree の [ Checkpoint ] を選択し、ちクリックします。 

[New Check Point ] 一 [ VPN -1 Pro/Express Cluster ] を選択します。 

—オブジェクト ： Gateway Cluster 
を目り ： fws _ cluste 「 

内容 ： IP Address じはインターネット側の仮想 IP アドレスを指定してください。 

□ー ドシェアを巧う塌合は、二重化機能の設定で groupO に登録したインクーネット側の仮想 IP ' 
アドレスを指走してください。 
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3. Cluster Members ぺージで、手順 1 で作成した 2 台の Firewall オブジェクト ( fwsi と fws 2) を追力□す 
る。 



4. 3 rd Party Configuration ぺージで、設定を磕認ずる。 

「Use State Synchronization 」 にチェックががいていることを磕認します。チェックががいてい 
ない場合は、チェックをかけまず。 

「Hide Cluster Members ’ outgoing traffic behind the Cluster’s IP Address 」 にチェックが付 
いていないことを確認します。 

□—ドシェアを巧う場合は 、 「Load Sharing 」 にチェックを付け 、 OPSEC cluster solution ’ s の 
チェックボックスじチェックががいていないことを確認してください。 
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已. Topology ページじてインタフェースの設定する。 


[Edit Topology ] をクリ 、ソク しまず。 

IP アドレスには、仮想 IP アドレスを設定し 、 Network Objective プルダウンメニューより、 
「 Cluster 」 を設をしまず。 

同期巧ネットワークの IP アドレスは設をせず、プルダウンメニューより、 r 1 st Sync 」 を設ちしま 
す。 

□-ドシェアを行う場合は、二重化機能の設定で g の upO 、 groupl で登録した仮想 IP アドレスを 
全て設定してください。 


General Properties 
Cluster Merrl>ers 
3rd Parly Cmfig げ ation 
を Topolo«y 
NAT 

Authentication 
因 Loss end Masters 
Cap おか Optimization 
田 Advanced 


172.16 .1.3 

202.247 .5.3 

192.168 .1.3 


172.16 .1.1 

202247.6.1 

192168.1.1 
19216821 
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二重化用 ルールの 追加 


二重化機能を使用ずるためじは、サーバ闇の状態監視用通信を通ずためのルールを設定ずる 
必要がぁリまず。 

1 . ニューの [ Manage ]^ に ervices ...]^[ New ] を選択し、以下のサービスを定義ずる。（を前は一 
例です。他のを前でも構いません。） 


オブジェクト : TCP 
を前 : cipjcp 

ポート ：28001 



オブジェクト : UDP 
を前 ： clp.udp 

ポート ：28002 



p-oira 

上記ポート番号は基本設定ツールにおける既定値のポート番号でず。二重化機能の設定でボー 
卜番号を変更ずる場合はその設定に合わせてサービスの定義を巧ってください。 


2 . 上記の二重化通信用のルールを追がする。 


項目 

Source ： 

Destination ; 

Service ： 

Action : 


設定值 
fws 1、 fws 2 
fws 2、 fws 1 
clp _ tcp 、 clp_udp 
accept 







































p-Oira 

• □ー ドシ I アを行ラ場合は ly 下の点にミち意してください。 

-セッション同期ネットワークは必ず専巧ネットワークとしてください。 

-ネットワークの定量として、 ly 下のよラな定量が必要となりまず。ただし、このネット 
ワーク設定は FireWall - l におけるオブジェクト定義のみであり、実際のネットワーク構 
成へ反映ずるものではありません。 

(下記は、1日2.168 .1.1 〜1日 2.1 巨 8.1.1 27を fwsl で使用、19吕 . 1白 8. 1 . 1 2 S 〜 
1 92.1 目 8.1.2 已4を fws 2 で使用して通信を行う場合の例でず。） 

1. VewObjectsTree の [ Networks ] ちクリックし 、 [New Network ] を選択し、 
ly 下の2つのネットワークオブジ I クトを作成しまず。 

ネットワークオブジェクト1 

オブジェクトる： network_l 

IP アドレス ：192.1巨 8.1.0 

夕〜ットススク:吕已已.吕已已.吕已已 .128 

HideNAT :呂 roupO に登録した仮想 IP アドレス 

ネットワークオブジェクト2 

オブジェクトる： network _2 

IP アドレス ：19吕 .168.1.128 

夕〜ットススク:吕已已.吕已已.吕已已 .128 

HideNAT : group 1に登録した仮想 IP アドレス 


2.192.1 白 8.1.1 〜1日 2.1 色 8.1.127 の内部ホストは、径 roupO に登録したイ反翻 P 
アドレスに HideNAT されまず。 

1 92. 1白 8. 1 . 1 28-1 92.168.1.2 已4の内部ホストは、径 roup 1に登録した仮想 
IP アドレスに HideNAT されまず。 
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二重化用設定事項 


二重化機能を使用するためには、設定:事項として、 [ Policy ] - [Global Properties ] - [NAT - 
Network address translation ] ぺージで 「Automatic ARP configuration 」 のチェックを外す 


必要がありまず。 



チェックをかす 


セキュリティポリシーのインス I ル 


セキュリティポリシーの作成が完了した6、ポリシーをインストールしてください。2台の 
円 rewall にインストールされまず。 

セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情報は FireWalM 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーバと円 rewall 本体の両方のバックアップデータがあ要となります。管 
理サーバとして Express 5800 / FW 300または FW 已〇〇を使用している場合には、3章の「4. 
バックアップ」コマンドによるバックアップを参照してください。 FireWall -1 モジュールの 
バックアップちまと同じでず。 

その他のサーバを使用している場合には、該当するファイルのバックアップが必要となりま 
す。化 J 下のバックアップファイル取得方まは、 Windows マシンを使用した場合の一例で 
す。） 


1 . コマンドプ□ンプトより， FireWall -1 を停止しまず。 

じ¥> cpstop 

2 . 停止後、 W 下のコマンドを実行します。 

「 export . tgz 」 バックアップファイルが作成されます。 

C :¥> cd C :¥ WINNT¥FW 1 ¥ R 60 ¥fw 1 ¥ bin ¥ upgrade_tools 
> up 邑 rade _ export.exe export 

I p-O 「 C :¥ WINNT ¥ FW 1¥ R 60 J は、 FireWall -1 をインス!ルしたディレクト U にな 
りまず。インス!ルディレクト U によって異なりまず。 

3. バックアップファイルを取得後， FireWalM を起動しまず。 

じ¥> cpstart 


H -0 セキュリティポリシーの設定の説明において使巧している画像イメージは、 
B 重 a FireWall - l の FeaturePack によって異なる場合がありまず。 

























二重化機能の設定 


二重化機能の設定ち法を説 S 月します。設定は基本設定ツールか6行います。両 Firewall で全 
く同じ設をを巧ってください。 

二重化機能の設定項目およびそれぞれの制限事項は t (下のとおりでず。 

• パートビート送信間隔 

八ートビートのち信圍隔(秒）を指走しまず。 

• 八ートビートタイムアウト時間 

八ートビートが途絶して柜手 Firewall がダウンしたと認識するまでの時闇(秒)を指をしま 
す。八ートビートを信聞隔より大きい値を指定してください。 

• Firewall 起動待ち時間 

起動樹こ柜手 Firewall の起動時聞を待ち合わせる時圍(秒)を指をします。八ートビートタ 
イムアウト時圍より大きい値を指をしてください。 

• 内部通信用 TCP ポート番号 

2台の Firewal 情で通信を巧うための TCP のポートを号を指をします。 

• 内部通信用 UDP ポート番号 

2台の Firewall 園で通信を巧うための UDP のポート番号を指をします。 

• Firewalll のヴーバ名 

ホスト名は FQDN お式ではなく、ドメインをを除いたを前を指をしてください。 

• Firewal にのヴーバ名 

ホスト名は FQDN おまではなく、ドメインをを除いた名前を指走してください。 

• 円 rewall 1のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 円 rewal にのインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用ずる場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があリまず。 

サーバ圍監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対まとして設定された IP アドレスとの通信が途絶した場合、待機系 Firewal にフェイ 
ルオーバが巧われまず。本項目の設定は省略することができます。 

• プ□キシ ARP アドレス 

S ね ticNAT 機能を使用する場合、外部公開アドレスとして使苗するアドレスを指をして 
ください。 
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• 運用系円 rewall 

運用系の Firewall を指をしまず。 

• 自動フェイルバック 

自動フェイルバックを行うかどうか設定します。自動フェイルバックを auto にした場 
合> 運用系ダウン後、待機系に業務が引き継がれている状態で> 運用系が復帰(起動)ず 
ると> 自動的に運用系に業務を戻します。 

ホットスタンバイの設定 

基本設定ツールでの設定手順を示します。 tTF の内容は、本章の r セットアップ」で示した 
ネットワーク構成を例にとって説明しまず。 

① 

② 

③ 
④ 

① 管理クライアントか 6 Firewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system 」 の項目までは、 < ENTER > キーを押して進み、設を内容を確！忍す 

る。 

③ 二重化機能を使用する。 < Y > 丰一を押す。 

④ □ー ドシェアの間い山 se load share ?) じ [ y ] で答えると□—ドシェアの設をが開始され 
る。 

ここでは、ホットスタンバイの設定を行うので、 < N > キーを押しまず。 


..① 
..② 

，"③ 

..④ 

..⑥ 

..⑥ 

..⑦ 

① 八ートビートを信闇隔(砂）を人力する。 

② 八ートビートタイムアウト時闇(秒）を入力する。 

③ 起動時じ柜手 Firewall の起動を待ち合わせる時闇(秒）を入力する。 


- START CLUSTERPRO configuration —— 

CLUSTERPRO Configuration Tool Ver 1.0-4 

- cluster configuration - 

Input HB interval( 0 - 999) [0] : .. 

Input HB timeout(1 - 999)[1] : . 

Input WAIT Timeout(1 - 999)[5] : . 

Input API TCP port number[28001] : . 

Input HB UDP port number[28002] : . 

Input serverl host name : fwsl. 

Input server2 host name : fws2 . 


# fwsetup . 

Firewall Server configuration tool Ver.2.5—0 

<略> . 

use cluster system? (y/n)[n]: y. 

use load share? (y/n)[n]: n . 
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④内部通信用の TCP ポート番号を人力ずる。 

⑥ 内部通信用の UDP ポート番号を入力する。 

愈 FirewalM のサーバ名)（ホストを）を設定:する。 

ホスト名は FQDN 形式ではなく、ド;<インをを除いたを前を指をしてください。 

⑦ Firewal にのサーバさ)（ホストを）を設定する。 

ホスト名は FQDN 形式ではなく、ドメインをを除いたを前を指定してください。 


- server configuration 


Input fwsl interconnect address ...........■■■■■■". 

address(1) :192.168 .2.1 
netmask(1) : 255.255.255.0 
address(2) : 

No. address / netmask 
1 192.168 .2.1/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


Input fws2 interconnect address . 

address(1) :192.168 .2.2 
netmask(1) : 255.255.255.0 
address(2) : 

No. address / netmask 
1 192.168 .2.2/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


.① 


.② 


①運用系 Firewall の Firewal 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
人力する。 

インタコネクトアドレスは16個まで設定巧能です。 

設定後に一覧を表示します。 

一覧か6設定内容の追力日、および修正、削除、一覧の再表示をキー人力か6操作できま 


す。 

< A > キ ー + < Ente 「>+— : 


インタコネクトアドレスを追力□しま 
ず。 


< M > キー + r 修正する一覧の番号」 +< Ente 「> キー：指をした番号の設定を修正しまず。 
< D > キー + r 削除する一覧の番号」 +< Ente 「> キー：指定した番号の設定を削除しまず。 


< L > キ ー +<ヒ111げ>キー： 
< Enter >+— : 


一覧を再表示します。 

次の項目へスキップしまず。 


②待機系 Firewall の Firewal 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
人力する 0 
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- group configuration - 

No. name 
1 groupO 

- group rip configuration - 

Input FIP address . 

address(1) : 202.247 .5.3 
netmask(l) : 255.255 .255.0 
address(2) :172.16 .1.3 
netmask(2) : 255.255.255.0 
address(3 ) :192.168 .1.3 
netmask(3) : 255.255 .255.0 
address(4) : 

No. address 

1 202.247 .5.3/255.255.255.0 

2 172.168 .1.3/255.255.255.0 

3 192.168 .1.3/255.255.255.0 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


① 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設定巧能です。 

設定後に一覧を表示しまずので、確認> または，変更して <Ente「> キーで進みまず。 

P; 二重化機能を使用する場合、サーバへのアクセスは、原則仮想 IP アドレスを使用する也、要が 

IヒントI あります。 

サーバ間監視き用インタフエースじ(列■の全インタフエースに仮想 IP アドレスを設をしてくだ 
さい。 
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① 


202.247 .5.5 I 202.247 .5.254 
192.168 .1.254 


- groupO ipw conflauration - 

Input IP 阿 address . 

address(1) : 202.247.5.xxx |202.247.5.xxx 
address(2) : 

No. address 

1 202.24 7.5.xxx | 202.247.5.xxx 

{"a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


①監視する IP アドレスを入力する。 

「1」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定巧能でず。ただし、 ru で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントしまず。 

設定後 I こ一覧を表示しますので、確認、または、変更してく Erite 「> キーで進みます。 

監視が象として設定された IP アドレスとの通信が遠絶した場合、待機系サーバにフてイル 
山|/ | 才ーバが巧われます。 

<設定例> 

• 202.247 .5.254 と192.168 .1.254 のどちらかと通信が途絶した場合にフェイルオー 
パを行いたい場合。 

No . address 

1 202.247 .5.254 

2 192.168 .1.254 

• 202.247 .5.254 と192.168 .1.254 の双方と通信が途絶した場合にフ王イルオーバを 
わしげこし'' 場合。 

No . address 

1 202.247 .5.254 I 192.16 8.1.254 

• 202.247.目.日と202.247.5254の双方と通信が途絶した場合か、1目 2.168.1.254 と 
通信が途絶した場合 I こフェイルオーバを行いたい場合 

No . address 


12 
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- groupO proxy arp configuration - 

Input proxy address . 

address(1) : 202.247 .5.4 
address(2) : 

No. address 
1 202.247 .5.4 

("a"=add | "m num"=modify | "d num"=delete | "l"=list | Enter=next) : 


①設定するプ□キシアドレスを指をする。 

プ□キシ ARP アドレスを入力します。プ□キシ ARP アドレスは256個まで設定可能で 
す。 

設定後 I こ一覧を表示しますので、確認、または、変更してく Erite 「> キーで進みます。 

プロキシ ARP アドレスでは、運用系サーバにて & aticNAT を巧う場合の公開用 IP アドレスと 
rpvn なります。 S ね ticNAT で公開する IP アドレスをすべて登録してください。 


- groupO resource configuration - 

Input primarv server hostname(fws1,fws2)[rws1] : 
Input fallback policy(1 : auto, 2 rmanual)[manual] : 
- END CLUSTERPRO configuration - 

〈占〉 


① 

② 


① 運用系サーバを人力する。 

② 自動フェイルバックを巧うかどラか入力する。 

I H-O 上記の設定は fws 1、 fws 2 で同じ設定にしてください。 

aroa 

上記の設定後は、本体を再起動させる必、要があります。下のコマンドを入力してくださ 
い。 


# shutdown —r now 
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他のネットワーク機器の設定 


イントラネットと DMZ に存在ずるネットワーク機器については、デフォルトルートの設定 
としてサーバ I こ設定したそれぞれのネ、ソトワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側；172.16 .1.3) を指定ずるようじしてください。 


【参考】 NAT のためのルーティングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネ、 ソ ト内のサーバのアドレスを静的に 
NAT (アドレス変撰）し、インターネット上に公開ずる場合、ルーティングテーブルと 
ProxyARP テーブルの設定を別途行う必要があります。 

例として、じ(下のネットワーク構成の場含、公開用 WWW / FTP サーバを該当ずるホストと 
ずると、 J ： rF のような ルーティングテーブルと ProxyARP テーブルの 設定を Firewall へ行う必 
要がありまず。 

I ' 202.247.日.に7 
1 --,- J ( NAT 懐の IP アドレス） 


仮想 IP アドレス 

202.247 .5. 126 



destination 202.247.5.127 
netmask 255.255 .255. 255 
gateway 172.16 .1.2 

変換後のアドレスを destination 、 実際のアドレスを gateway に指定してくださし、 
fwsetup の static routing の項目で設定することができまず。 

ProxyARP の設定については、前述の r 二重化機能の設定」を参照してください。 
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アの設定 



じ(下のネツトワーク構成を例にして説明しまず。 

まずは、ホットスタンバイの設をを参照し、 「 Firewall のセットアップ」と「セキュリティポリ 
シーの設定」を行ってください。 


♦ Firewall 1 

ホストを： 

インターネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス: 
Firewall 闇通信用 IP アドレス： 

♦ Firewalls 

ホスト名： 

インクーネット側実 IP アドレス: 
DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス: 
Firewall 闇通信用 IP アドレス： 

• 仮想 IP アドレス(宮 roupO 側） 

インター•ネ 、ソ ト側： 

DMZ 伯り： 

イントラネ 、ソ ト側： 

• 仮想 IP アドレス(宮 roupl 側） 

インクーネット側： 

DMZ 假！ I : 

イントラネ 、ソ ト側： 


fws 1 

202.247 .5.1/255.255.255.0 
172.16 .1.1/255.255.255.0 
192.168 .1.1/255.255.255.0 
192.168 .2.1/255.255.255.0 


fws 2 

202.247 .5.2/255.255.255.0 
172.16 .1.2/255.255.255.0 
192.168 .1.2/255.255.255.0 
192.168 .2.2/255.255.255.0 


202.247 .5.3 

172.16 .1.3 

192.168 .1.3 


202.247 .5.4 

172.16 .1.4 
192.1目 8.1.4 


• プ□キシ ARP アドレス ( groupO 側) 


インクーネット側: 


202.247 .5.5 


• プ□キシ ARP アドレス ( groupl 側） 

インターネット側： 202.247 .5.6 

• 管理用サーバ 

ホストを： 

IP アドレス 

• GUI クライアント用 PC 

IP アドレス： 192.168 .1.5/255.255.255.0 


firewalLmgr 

192.168 .1.4/255.255.255.0 
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インターネット側 LAN 



202.247 .5.0/255.255.255.0 


C 202.247.5.3> 


202.247 .5.1 192.168 .1.1 


イントラネツト個 ILAN 
192.168 .1.0/255.255.255.0 


で 2. 24ス5.す） 



日と247.5.す） 


‘ C 202.247.5.4> 
202.247.日.2 I 



192.168 .2.1 


サーバ監視 
専巧 LAN 
192.16 8.2.0/ 
255.255 .255.0 


192.168 .2.2 


172.16 .1.2 


DMZ LAN 

,172.16 .1.0/255.255.255.0 


公開巧 WWW/FTP などへ 
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次 I こ、「二重化の設定:」を行いまず。 

ここでは、□—ドシェアの機能を有効 I こして groupO と group 11こ設定を巧います。 


# fwsetup .■■■■, 

Firewall Server conflauration tool Ver.2.5—0 

〈运〉 

use cluster system? (y/n)[n]: y . 

use load share? ( y/n )[ n ]: y . 

〈占〉 

- group conriguration - 

No. name 

1 groupO 

2 group1 



〈占〉 


- groupO property configuration - 

Input primary server hostname(fws1,fws2)[fws1] : 
Input fallback policy(1 : auto, 2 rmanual)[manual] : 

〈占〉 



〈运〉 


- group 1 property configuration - 

Input primary server hostname(fws1,fws2)[fwsl] : fws2 
Input fallback policy(1:auto, 2 rmanual)[manual] : 

〈略〉 

Please reboot the system. 

# shutdown -r now . 


① 


② 

③ 


④ 


⑥ 

⑥ 


⑦ 


① 管理クライアントか SFirewall の基本設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system ?」 の設定までは、 < Ente 「> キーを押して進みまず。 

ここでは、二重化機能を使用するので < Y > キーを押します。 

③ □-ドシェアを行うので、 < Y > キーを押す。 


④ groupO に関する設定を行う。 

設定項目については、「ホ、ソトスタンバイの設定」を参照してください。 


12巨 



















⑥ group 1に関する設定を行う。 

設定項目については、「ホ、ソトスタンバイの設定」を参照してください。 

⑧ groupl におけるプライマリを入力する。 

ここでは、 groupO のプライマリ設定とは逆の Firewall を設定してください。 

⑦ Firewall 本体を再起動する。 

M-O • プ□キシ ARP アドレスの設定において groupO と邑 roup 1では、同一 IP アドレスの使巧 
はできません。異なる IP アドレスを設定してください。 

• 上記の設定は fwsl 、 fws 吕で同じ設定にしてください。 


他のネットワーク機器の設定 


イントラネットじ存在ずるネットワーク機器のデフォルトルートには、下の仮想 IP アドレ 
スを設をしてください。 

• 前述のオブジェクト networkj に定義したネットワークに属している機器には groupO に 
登録したイントラネット側の仮想 IP アドレス。 

• 前述のオブジェクト netwo 「 k _2 に定義したネットワークに属している機器には groupl に 
登録したイントラネット側の仮想 IP アドレス。 
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運用 

二重化構成の運用について説 S 月します。 


暗害発生時の対応 


運用系サーバにおいて障害をお化した場合じは、フェイルオーバが発生し，待機系サーバへ 
業務が切り替わりまず。その際に基本設定ツールでちをした管理者の E - mail アドレス巧に 
メールが送信されます。 

• ダウンしたとをのメッセージ 


Subject: WARNING : [groupO]is downed 
!!WARNING!! 

[groupO] is not active on Firewall(fwsl.nec.co.jp[202.247.5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE: [groupO] changes 
to the active firewall" from fwsl.nec.co.jp[202.247.5.1], 
both groups are downed. 

Urgently check both groups I 1 


• フェイルオーバしたときのメッセージ 


Subject: NOTICE : [groupO] chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp[202.247.5.2]). 

Urgently check another failed rirewall. 


H-O ダウンした要因ぴネットワークの通信障害などの場合、ダウンしたとさのメッセージがサ ー 
バ巧に滞留し、障害復旧後に送信されることびありまず。メッセージを受信した5おずその 
発信時刻を確認ずるようにしてください。 

メールを受信した 6 Express 5800 / FW 已〇〇の状態を殖認し、システム□グか6フェイル 
オーバが発生した要因を殖認し、あ要な対処を行って<ださい。メッセージ内容、対処ち法 
等は r 付録 C 二重化機能の□グメッセージ」を参照して < ださい。 

• 監視対ま IP アドレスとの适信途絶、あるいは、 FireWalM プ□セス消滅が発生し、待機系 
円 rewall に業務を引き継いだ場合、 W 後，そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは> [cipstat - s ] の 
[ STARTING ] で確認できます。 
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• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対象 IP アドレスとの通信途絶、あるいは FireWall -1 プ□セス消滅が発生し 
てち 、待機あ Firewall か6運用系 Firewall へは業務が引き継がれず、引き続き待機系 
Firewall で業務が遂行されまず。但し、上記の条件においても柜互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 

[監視対象 IP アドレスとの通信途絶が原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- cipgrp コマンドによって業務を起動 
-円 rewall 再起動 

[ Firewall - 1プ□セス消滅が発生した場合] 

- cipgrp コマンドによって業務を再開 
- Firewall 再起動 
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コ 7 ンド U ファレンス 


状態表示、運用系、待機あの切り营えなどはコマンドを使用して行います。 

情報表示 

現在の状態，設を内容を殖認するにはた(下のコマンドを実行します。 

clpstat -S [-h host name] 

—n 

—1[—h host name] 

状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....各種状態を表示しまず。 

-n . インタコネクトマップを表示します。 

-i . 各種設定を表示します。 

- hhos し name . 操作対象サーバを。指をなしの場合、コマンド実行サーバが対まとな 

りまず。 


# clpstat —s 

- CLUSTER STATUS - 


〇し丄ソし丄リ》丄れ/〇丄 丄 vU 丄 *4 


serverO serverl 

SERVER STATUS . ONLINE ONLINE . 


POLICY 1st 2nd . . 

STARTING .ALLOW DENY .. 

<A> groupO-ipwO ONLINE ONLINE ■… 


• 丄し U ， 丄，么一 1 

<U> groupO-fipO ONLINE OFFLINE ■■ 


Z\jZ ，ム 4 / ， j，J / ム jj ， ム jj ， ム 

<U> groupO parpO ONLINE OFFLINE ■■ 

202 247 5 5 .. 


<U> groupO-execO ONLINE OFFLINE … 




<U> groupO-execl ONLINE OFFLINE 

W : / opt / nec fws/bin/c kfwalive 

E : /opt/necfws/bin/CKfwalive -k 



i 


③ 

④ 

1 

⑦ 

⑥ 

⑨ 

⑩ 

⑩ 

潑 

⑩ 

⑩ 


I n-O □-ドシェア時には、 GROUPO の情報に引き続き GR0UP1 の情報び表示されまず。 
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cipstat - s の各項目について 


① サーバ 名 （1 台目） 

② サーバをに台目） 

③ サーバの状態 

ONLINE :八ートビートが受信されている 
OFFLINE :八ートビートが受信されていない 
@グループの状態 


ONLINE 

:正常 

OFFLINE 

:停止 

ERROR 

:異常 

UNKNOWN 

:不明 


③フェイルオーパポリシ 
(6) グループ起動の許巧/禁止 


ALLOW 

:許可 

DENY 

:禁止 

UNKNOWN 

:不明 


③ 1 PW リソースの起動種別と状態 


< A > 

< U > 

ONLINE 

OFFLINE 

ERROR 

UNKNOWN 


全 サーバ 起動 

単 サーバ 起動 

正常 

停止 

異常 

不明 


(8) IPW リソース監視アドレス 
( D 円 P リソースの状態 
《 IPW リソースと同様 
⑩ FIP リソース設定:アドレス/ネットマスク 
⑩ PARP リソースの状態 
《 IPW リソースと同様 
@ PARP リソース設定アドレス 
@ EXEC リソースの状態 
《 IPW リソースと同様 
® EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

© EXEC リソース停止時実行パス 
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# clpstat 


================= CLUSTER INFORMATION ====== 

SERVER : fwsl 


CLUSTER : 

STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 

SERVE 民 0 : fwsl- 
INTE 民 CONNECTO 
INTERCONNECT! 

SERVER1 : fws2 
INTE 民 CONNECTO 
INTERCONNECT! 


AUTO ■■■■ 

5 . 

24002 ■■■■■ 

1 . 

5 . 

24001 

30 . 

0 . 

3. 

RESTART 
5 . 


:192.168 .1.1/255.255.255.0 
:192.168 .2.1/255.255.255.0 


:192.168 .1.2/255.255.255.0 
:192.168 .2.2/255.255.255.0 


GROUP 0 : groupO . 

START : AUTO 

FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 
FAILOVER policy 


MANUAL .I 

ACT-NORMAL ■■… 

IGNORE . 

0/0 . 

0 : fwsl1 : fws2 


IP 阿 0 : groupO-ipwO 
TYPE 

POLLING 旦 ddress 

RECOVER 

RETRY count 

FIFO : groupO-fipO 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


ASR . 

192.168 .1.254 

FAILOVER . 

2/2 . 


: USR . 

: 202.247 .5.3/255.255.255.0 

: ethO : 1 . 

: 0 . 


RETRY 

5/5 .... 


PARPO 
TYPE 

IP ADDRESS 
MAC ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


groupO-parpO 


USR . 

202.247 .5.5 . 

00:A0:34:1A:4C:D3 

ethO . 

0 . 


RETRY I 
5/5 ■- 


くみページに続 <> 


①©@@©⑥⑦⑧⑨⑩⑩⑩⑩ ⑩⑩ ® ⑩©©⑩ 
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□—ドシェア時には、 GROUPO の情報に引き続き GR 0 UP 1 の情報が表示されまず。 




cipstat - i の各項目について 

① CLUSTERPRO AE の起動ち法 
YES :自動起動 

N0 :手動起動 

霞起動待ち合わせ時闇(秒） 

(3) 八ートビート受信用 UDP ポート番号 
® 八ートビート送信間隔(秒） 

© 八ートビートタイムアウト(秒） 

© API 用 TCP ポート番号 
® API タイムアウト(秒） 

® □グポート審号 
® ping コマンドタイムアウト(秒） 

® リカバリ方法 


RESTART 
STOP 
HALT 
REBOOT 
UNKNOWN 
⑩リトライ回数 
⑩ サーバ さ 1(1 台目） 

⑩インタコネクトアドレス 
® サーバをに台目） 

© インタコネクトアドレス 
® グループさ） 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 
OS シャツ トダウン 
0 S リブート 
不明 


⑩ グループ 起動方法 


⑩ 


AUTO 

自動 


MANUAL 

手動 


UNKNOWN 

不明 


フェイルバック方法 


AUTO 

自動 


MANUAL 

手動 


UNKNOWN 

不明 


環境変数 
ACT-NORMAL 


通常起動 

ACT_FAILOVER 


フェイルオーバ 

DEACT-NORMAL 

通常停止 

DEACTJLLEGAL 

異常停止 


娜グループリカバリち法 
に N0RE :無視 

RETRY :再起動 

STOP :停止 

FAILOVER :フェイルオーバ 

UNKNOWN :不明 

@リトライ回数 

© 運用系サーバ名待機系サーバを 
@ IPW リソース名 
@)起動クイプ 

ASR :全起動リソース 

USR :単起動リソース 

感 IPW リソース監視対象アドレス 


EXEC0 : groupO—execO 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/ckcstat 
/ opt/necfws/bin/cKcstat 

NO . 

21623 . 

STOP . 

0/0 . 


EXECl : groupO—exec 丄 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/opt/necfws/bin/ckfwalive 
/ opt / nec fws / bin / cKfwalive -k 
YES 
21625 
FAILOVER 
2/2 
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® PARP アドレス 
® MAC アドレス 
® PARP インク フエー ス 
® ping 回数 
® arp 回数 

® PARP リソースリカバリ方法 
义 IPWIJ ソースと同様 
@リトライ回数 
© EXEC リソース名 
® 起動タイプ 

《 IPW リソースと同様 
@ EXEC リソース起動時実行パス 
® EXEC リソース停止時実行パス 
® EXEC リソース監視設定 
《 IPWIJ ソースと同様 
® EXEC リソ ースプ □セス ID 
@ EXEC リソースリカバリち法 
《 IPW リソースと同様 
©リトライ回数 


普 cipstat —n 

- INTERCONNECT INFORMATION - 






address serverO serverl 



丄ゴ ^. 丄 b 口 . 丄.丄 ui^ Ui\ 


丄ゴ ^. 丄 b 口.^.丄 ui^ Ui\ 


address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


cipstat - n の各項目について 

① サーバ 名 （1 台目） 

感 サーバ名)に台目） 

感サーバ （1 台目）ステータス 

④プライマリインタコネクトアドレス/ステータス 
⑥セカンダリインタコネクトアドレス/ステータス 
® サーバ に台目）ステータス 


@ IPWIJ ソースリカパリ方ま 


IGNORE 
RETRY 
STOP 
FAILOVER 
UNKNOWN 
◎リトライ回数 
@ FIP リソースを 
® 起動タイプ 

《 IPW リソースと同様 
® 円 P アドレス 
® 円 P インタフェース 
® ping 回数 
® arp 回数 

® 円 P リソースリカバリ方法 
《 IPW リソースと同様 
® リトライ回数 
® PARP リソースを 
® 起動クイプ 

《 IPW リソ ースと 同様 


無視 

再起動 

停止 

フェイルオーバ 
不明 


①⑤⑤ ④⑥ ^ 
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運用系/待機系の切り替え-業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行う場合、と J 下のコマンドを実行します。 

clparp —S [― h host name] [― g group name] 



業務の起動/停止関連操作を行いまず。 


〈オプション〉 

-S . 業務の起動を巧いまず。すでに起動されていたり、化のサーバで起動 

している場合には失敗します。 

-t . 業務の停止を巧いまず。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切リ替えます。業務が起動しているサーバ側で実 

巧するあ要があります。 

-h hos し name . 操作対象サーバをです。指をなしの場合、コマンド実行サーバが対象 

となります。 - m オプション指を時には、業務移動元サーバの意巧も持 
ちます。 

-g group _ name ....... 操作対まグループを指をします。指をなしの場合、全グループが対象 

とな U まず。 
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二重化構ぶの再セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順 I こ従って再インストールします。 

• 管理サーバ 

Express 5800 / FW 300または FW 500を管理サーパにしている場合の Fi 「 eWall -1 管理サー 
バの再インス I ー ル I こついて説明します。 

1. 3章の r 再セットアップ」-「システムの再インストール」の手順7までを巧う。 

2. 本章の 「FireWalM 管理サーバのセットアップ」円 reWall-1 管理モジュールのコンフィグレー 
シヨン」を行う。 

3. 3章の r 再セットアップ」-「システムの再インストール」の手順9を行い、管理サーバへバック 
アップをリストアずる。 

• Firewall 本体 

円 「 ewal 体体の再インストール方法について説明しまず。 

1. 3章の r 再セットアップ」-「システムの再インストール」の手順7までを巧う。 

吕.本章の 「Firewall 本体のセットアップ」- 「Fire 机 all-1 の〕ンフィグレーシヨン」を巧う。 

• セキュリティポリシーをインス!ル 

セキュリティポリシーの再インストールについて説明しまず。 

1 .SmartDashboard から管理サーパへ接続し、円 「eWalM 管理サーパと Firewall 本体との通信を行 
うための設をを巧う。 

Fire 邮 all-1 管理サーパと Firewal 味体との通信を行うための設定については、本章の「セキュリ 
ティポリシーの設定」- 「Firewall オブジェクトの作成」を参照してください。 

2. Firewall 本体へセキュリティポリシーをインストールする。 

3. 運用系 Firewall、 待機系 Firewall の順で再起動ずる。 

□ー ドシェア機能を使用している場合は、再起動の順番は関係ありません。 
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注意-制限事頃 


Firewall 本体が 2 台上あ要です。また、ライセンスは同じ ユーザー 数のものをそれぞれ 
の実 IP アドレスで申請するあ要があります。 

自動フェイルバック時、接続されていたセッシヨンが切断される場合がありまず。 

フェイルオーバが発生した場合、 IKE セッシヨンは失われる可能性があります。 

自動フ I イルバックが設をされている場合、運用系サーバ再起動後，自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サーバのちが待機状態になります（運用 
系、待機あの逆転)。運用あサーパに業務を切り替える場合はコマンド (clpg「p-m) により 
サーバの切り替えを実行するか要がありまず。 

待機系で監視対象 IP アドレスとの通信途絕が発生している場合、運用あでリソース異常 
が発生しても待機系サーバに業務は引き継がれません。ただし、この場合でわコマンド 
(cipgrp-m) により業務実行サーバを切り替えることは可能でず。 
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〜 Memo . 
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